How to per il recuper di file cancellati accidentalmente
Da Wizard linux team wiki.
Questo articolo è una traduzione dell'originale in inglese reperibile qui, L'articolo è stato tradotto con l'ausilio di un traduttore automatico, quindi la traduzione non sarà delle migliori, se qualche volenteroso la volesse sistemare, sarà libero di farlo.
Autore: Shawn Hermans
Contents |
Introduzione
Recentemente necessitavo di più spazio per archiviare i miei video e le mie foto, così ho comprato un nuovo disco rigido da aggiungere alla mia Linux Box . Ho spostato tutti file che desideravo preservare su un singolo Hard Disk e poi ripartizionato il vecchio in modo da poter aggiornare la mia distribuzione linux ad una versione + recente. Dopo avere reinstallato il sistema operativo, ho montato l' hard disk di riserva ed ho scoperto che era vuoto. Ero riuscito a scambiare l' hard disk usato per archiviare tutti i dati con quello da formattare. Poiché non avevo fatto il backup sull' hard disk cancellato, mi sono ritrovato senza foto né video.
Appena passata la sensazione di terrore opprimente, ho iniziato ad esaminare diverse soluzioni per il recuperare i file cancellati. Ho provato una vasta quantità di prodotti commerciali per vedere se qualcuno potesse recuperare i miei file o le mie partizioni ormai perdute. Non ha funzionato neanche uno. Infine, ho scoperto TestDisk e PhotoRec.
TestDisk può recuperare partizioni con ogni filesystem. PhotoRec può recuperare la maggior parte dei file esistenti, compresi molti formati di file video e d'immagine. PhotoRec può essere utilizzato sia su partizioni esistenti, che su partizioni cancellate senza dover recuperare le partizioni stesse. Sia PhotoRec che TestDisk possono girare su sitemi DOS, Windows (9x, NT, 2000, XP, 2003), Linux, FreeBSD, NetBSD, OpenBSD, Solaris e OS X, e possono essere compilati fatti funzionare sulla maggior parte dei sistemi dell'Unix.
Recupero
Ho iniziato il recupero usando TestDisk con una Knoppix. Purtroppo, già avevo scritto sul filesystem e la ricerca sull’hard disk per recuperare le partizioni perse non ha dato troppi risultati. Ho così deciso di provare PhotoRec per recuperare i file persi.
PhotoRec trova i file cancellati e li copia su un disco. Perciò i file non vanno trascritti nella stessa partizione del disco su cui risiedono (salvo che non lavoriate con un'immagine del disco), poiché si correrebbe il rischio di sovrascriverli.
Un'altra cosa importante da ricordare è che PhotoRec recupera tutti i file. Questo significa che bisogna avere molto spazio libero su disco, almeno grande quanto la partizione da recuperare.
Le configurazioni possibili per il recupero sono:
- Recupero dei file su un hard disk separato.
- Recupero dei file su un hard disk di rete
- Recupero dei file su una partizione separata dello stesso hard disk.
- Tramite il file d'immagine dell’hard disk per mezzo di un tool come ddrescue in modo da recuperare i file usando soltanto una partizione.
Avendo cancellato le mie partizioni, non avrei potuto usare la terza scelta. La seconda avrebbe introdotto problemi connessi con la scarsa velocità della mia rete. La quarta opzione l’avrei considerata solo per fare una prova.
Ho scelto quindi la prima opzione, per prima cosa ho installato due hard disk su di un Computer. Ho diviso l'hard disk usato per recuperare file in due partizioni primarie; Sulla prima ho installato il sistema operativo (CentOS 4), sulla seconda ho lasciato lo spazio necessario per mettere i file recuperati. Partizionare in questo modo è stata una precauzione supplementare per impedire PhotoRec di compromettere il sistema. Un'altra possibilità è di procedere con un distribuzione live come una Knoppix, che contiene i programmi PhotoRec e di TestDisk già installati.
Potete scaricare sia PhotoRec che TestDisk dal sito ufficiale in un singolo pacchetto compresso. I file photorec_static e testdisk_static sono gli eseguibili che devono essere lanciati da linea di comando.
Bisogna assicurasi che la partizione di recupero sia montata (l'ho montata su /var/recovery). Non montare l'hard disk che contiene file cancellati; rimanendo smontato, non si possono sovrascrivere i dati.
Fasi di Recupero
PhotoRec recupera i file e li trascrive nella directory sulla quale è stato eseguito. Di conseguenza, sono entrato nella directory /var/recovery ed ho digitato il comando photorec_static. Se l'eseguibile non dovesse funzionare, assicuratevi che una copia del file photorec_static od un link simbolico sia nella directory /usr/bin o in uno dei path predefiniti del sistema operativo.
L'interfaccia di PhotoRec è abbastanza semplice. Nella schermate iniziale, bisogna selezionare l'hard disk contenente i dati da recuperare. Nel mio caso, era /dev/hdb.
Select a media (use Arrow keys, then press Enter):
Disk /dev/hda - 200 GB / 186 GiB (RO) Disk /dev/hdb - 160 GB / 149 GiB (RO) Disk /dev/hdc - 120 GB / 111 GiB (RO) Disk /dev/hdd - 296 MB / 282 MiB (RO) [Proceed ] [ Quit ]
Poi, selezionate il tipo di partizione. Nel mio caso, ho selezionato la voce Intel/PC partition.
Please select the partition table type, press Enter when done.
[Intel ] Intel/PC partition
[Mac ] Apple partition map
[None ] Non partitioned media
[Sun ] Sun Solaris partition
[XBox ] XBox partition
[Return ] Return to disk selection
Nota: NON selezionate 'None' per dischi con soltanto un singola partizione. È molto raro che un disco sia 'Non-partitioned'(non partizionato).
Nella schermata successiva mi sono trovato un elenco con tutte le partizioni dell' hard disk. Ho scelto di ricercare in tutte le partizioni dell' hard disk, così ho selezionato la prima opzione. Tuttavia, prima di avviare la ricerca, sono dovuto andare nel menu OPT [file opt] (opt sta per optino) per selezionare il tipo di file da recuperare.
Disk /dev/hdb - 160 GB / 149 GiB (RO)
Partition Start End Size in sectors
D empty 0 0 1 19456 254 63 312576705 [Whole disk]
1 * Linux LVM 0 0 2 19457 80 63 312581807
[ Search ] [Options ] [File Opt] [ Quit ]
Start file recovery
PhotoRec può recuperare un infinità di file, ma a me servivano soltanto i file video AVI, i file JPG ed i file MPEG. Ho selezionato quindi le caselle corrispondenti nel menù opt.
PhotoRec will try to locate the following files
[ ] dbf DBase 3, prone to false positive
[X] FAT subdirectory>
[X] doc Microsoft Office Document (doc/xls/ppt/vis/...)>
[X] dsc Nikon dsc
[X] eps Encapsulated PostScript
[ ] exe MS executable
[X] EXT2/EXT3 Superblock
[X] gif Graphic Interchange Format
[X] gz gzip compressed data
[X] jpg JPG picture
[X] mdb Access Data Base
[X] mov MOV video
[X] mp3 MP3 audio (MPEG ADTS, layer III, v1)
[X] mpg Moving Picture Experts Group video
[X] mrw Minolta Raw picture
[ Quit ]
Return to main menu
Dopo aver selezionato il tipo di file da recuperare e confermata la scelta il programma è ritornato alla schermata precedente potendo iniziare così l'esplorazione dell' hard disk. Il processo di scansione è automatico; essendo il mio pc poco potente, ci sono volute alcune ore per completare l’operazione. Una volta finita la scansione, i file recuperati si troveranno in più directory chiamate recup_dir.x dove x è il numero della directory. I file all'interno non avranno i nomi dei file originali; saranno invece numerati nell'ordine in cui i file sono stati estratti con l'estensione che indica il tipo di file. Ad esempio, f89.avi è l'ottantanovesimo file recuperato ed un file AVI.
Cancellazione post-recupero
Una volta recuperati tutti i file avrei dovuto controllarli, e purtroppo sul mio hard disk ne erano presenti in quantità industriali. Esaminandoli Manualmente ci sarebbe voluto moltissimo tempo. Ho creato così tre cartelle all'interno delle directory /var/recovery chiamate VID/, DOC/ e JPG/, in cui ho copiato tutti file con i seguenti comandi:
find /var/recovery/ -name "*.avi" | xargs -i mv {} /var/recovery/VID/
find /var/recovery/ -name "*.mpg" | xargs -i mv {} /var/recovery/VID/
find /var/recovery/ -name "*.jpg" | xargs -i mv {} /var/recovery/JPG/
Anche se in questo modo tutti i file sono stati raccolti nelle rispettive directory, questo sarebbe stato il minimo da fare. Prima dell' incidente, avevo un qualcosa come 10.000 immagini, ciascuna di dimensioni intorno ai 2MB. Durante il processo di recupero, PhotoRec ha recuperato tutte le immagini che ha trovato – comprese quindi quelle nella cache del web browser.Questo significa che sono stati recuperati molti file indesiderati o futili. Per eliminare la maggior parte di questi file, ho spostato file più piccoli di 1MB verso una directory che ho chiamato SMALL, in modo di aggregare tutte le immagini che non mi interessavano utilizzando il seguente comando:
find /var/recovery/JPG/ -name "*.jpg" -size -1024k | xargs -i mv {} /var/recovery/SMALL/
Come detto prima PhotoRec non recupera i nomi dei file, ma fortunatamente nelle immagini recuperate sono contenuti i metadata EXIF dove ci sono le informazioni come la data in cui sono state fatte le foto o il modello di macchina fotografica che le ha scattate. Ho così pensato di usare un programma da linea di comando chiamato Jhead che ha la proprietà di estrarre questo i metadata dai file. Nella directory che conteneva i file JPG ho lanciato il comando:
jhead -n%Y%m%d-%H%M%S *.jpg
Con Questo comando si rinominano tutti file con estensione jpg con un nome contenente i relativi Data/ora di creazione ottenendo file tipo YYYYMMDD-HHMMSS.jpg. Tutti i file con lo stessa data/ora sono rinominati in file tipo YYYYMMDD-HHMMSSx.jpg, dove x è una lettera minuscola che incrementa per ciascun file con la stessa data/ora trovato. Tutti questi file sono stati creati dalla stessa fotocamera digitale, quindi tutti i file con lo stessa Data/ora dovrebbero essere immagini uguali. Ho spostato così i doppioni verso un'altra directory che ho chiamato DUPS:
find /var/recovery/JPG/ -name "*a.jpg" | xargs -i mv {} /var/recovery/JPG/DUPS/
Una volta identificati i file con la data/ora di scatto, è facile raccoglierli in directory ordinate secondo anno e mese.
Se avessi scritto delle parole chiavi o dei commenti nei file d'immagine, avrei potuto usare libextractor per estrarre determinate parole chiave dai file JPEG e raccoglierli in determinate directory. Purtroppo non era questo il mio caso, ho dovuto quindi passare ore ed ore raccogliendo e suddividendo le foto manualmente. Sono comunque riuscito ad usare libextractor sui file AVI estraendo le informazioni che riguardavano il codec, il frame-rate e la risoluzione. How to prevent recovery
Ho provato grande felicità per il recupero dei miei file e per di più con tale “facilità„, ma questo mi ha fatto rendere conto di quanto sia facile per un malintenzionato recuperare dati sensibili da un vecchio computer o un vecchio hard disk. Fortunatamente, esiste il modo di cancellare i dati da un hard disk impedendo il recupero. Per rimuovere con sicurezza i dati usate una delle seguenti opzioni.
- Sovrascrivere i dati attuali con dei dati “spazzatura„.
- Mettere l' hard disk a bagno con dell'acido.
- Cancellare il disco rigido con un programma di cancellazione sicura.
- Buttare il disco sul fuoco.
Ammettendo di non voler rendere l' hard disk inutilizzabile, le opzioni migliori sono quella della sovrascrittura dei dati o della cancellazione sicura dell 'hard disk. Se non avete l'apparecchiatura per la cancellazione sicura, usate un programma come Wipe che sovrascrive i dati fino a farli diventare irrecuperabili. In Base al vostro livello di paranoia, potete sovrascrivere i vostri dati con quanti passaggi desiderate. Alcuni suggeriscono 22 passaggi, mentre altri dicono che per la sicurezza sooluta sono necessari 99. Se la cosa che vi preoccupa è soltanto il recupero casuale da parte di persone che hanno soltanto accesso ad utility come PhotoRec, allora tre o quattro passaggi dovrebbero bastare.
Fine articolo
Mi scuso per la traduzione approssimativa ma ho fatto del mio meglio.
